URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17684
[ Назад ]

Исходное сообщение
"Cisco 1841 + Extended ACL + блокировка доступа в инет"
Отправлено den , 27-Ноя-08 10:50

Ситуация следующая, использую Extended ACl для блокировки исходящего трафика.
как можно запретить доступ к сайтам с подсети, за исключением прокси-сервера, т.е. если трафик на 80,443 порты, то пропускаем только ИП прокси-сервера, если другие Ип из подсети, доступ блокирум.
192.168.0.1 - прокси
192.168.0.0/24 - подсеть
83.83.83.83 - внешний ИП
пробовал следующим образом:
ip access-list extended acl_out
deny   ip any 192.168.0.0 0.0.255.255
permit tcp host 192.168.0.1 any eq www
deny   tcp 192.168.0.0 0.0.0.255 any eq www
permit ip host 83.83.83.83 any
deny   ip any any log
Подскажите где не прав....

Содержание

Cisco 1841 + Extended ACL + блокировка доступа в инет,blank, 10:56 , 27-Ноя-08
- Cisco 1841 + Extended ACL + блокировка доступа в инет,den, 11:54 , 27-Ноя-08
  - Cisco 1841 + Extended ACL + блокировка доступа в инет,blank, 12:27 , 27-Ноя-08
- Cisco 1841 + Extended ACL + блокировка доступа в инет,den, 12:28 , 27-Ноя-08

Сообщения в этом обсуждении

"Cisco 1841 + Extended ACL + блокировка доступа в инет"
Отправлено blank , 27-Ноя-08 10:56

>[оверквотинг удален]
>
>пробовал следующим образом:
>ip access-list extended acl_out
> deny   ip any 192.168.0.0 0.0.255.255
> permit tcp host 192.168.0.1 any eq www
> deny   tcp 192.168.0.0 0.0.0.255 any eq www
> permit ip host 83.83.83.83 any
> deny   ip any any log
>
>Подскажите где не прав....
смотря какие интерфейсы куда смотрят и как этот акцесс к ним применяете.
если я правильно понял вашу структуру то должно быть как-то так
ip access-list extended acl_out
permit tcp host 192.168.0.1 any eq www
deny   ip any any log

"Cisco 1841 + Extended ACL + блокировка доступа в инет"
Отправлено den , 27-Ноя-08 11:54

>смотря какие интерфейсы куда смотрят и как этот акцесс к ним применяете.
>
>если я правильно понял вашу структуру то должно быть как-то так
>
>ip access-list extended acl_out
>permit tcp host 192.168.0.1 any eq www
>deny   ip any any log
АЦЛ вешается на внешний интерфейс:
interface fastEthernet0/0
ip address 83.83.83.83 xxx.xxx.xxx.xxx
ip access-group acl_out out
Соответственно поэтому делаю так, кжется верным, но неработает
ip access-list extended acl_out
permit tcp host 192.168.0.1 any eq www  - разрешаем только с проксюка
deny   tcp 192.168.0.0 0.0.0.255 any eq www  - запрешаем всю подсеть по 80 порту
permit ip host 83.83.83.83 any - разрешаем с внешнего интерфейса, выход везде
deny   ip any any log
Есть еще внутренний интерфейс (смотрит во внутрь, т.е. шлюз для локалки)
interface Vlan1
ip address 192.168.0.200 xx.xx.xx.xx
пробовал навешивать на него АЦЛ, результат следующий, на самом интерфейсе трафик режется, с сети нет.....

"Cisco 1841 + Extended ACL + блокировка доступа в инет"
Отправлено blank , 27-Ноя-08 12:27

>[оверквотинг удален]
>permit ip host 83.83.83.83 any - разрешаем с внешнего интерфейса, выход везде
>
>deny ip any any log
>
>Есть еще внутренний интерфейс (смотрит во внутрь, т.е. шлюз для локалки)
>interface Vlan1
>ip address 192.168.0.200 xx.xx.xx.xx
>
>пробовал навешивать на него АЦЛ, результат следующий, на самом интерфейсе трафик режется,
>с сети нет.....
это полный конфиг? там никакого ната нет, а то нат отрабатывается первым до акцесса и соответственно адреса уже другие.

"Cisco 1841 + Extended ACL + блокировка доступа в инет"
Отправлено den , 27-Ноя-08 12:28

Разобрался, еслу кому пригодится вот что получилось:
вешаем АЦл на внутренний интерфейс на входящий трафик, вместо внешнего интерфейся на исходящий.
interface Vlan1
ip address 192.168.0.200 xx.xx.xx.xx
ip access-group acl_Local_out in

ip access-list extended acl_Local_out
permit ip any 192.168.0.0 0.0.255.255
permit tcp host 192.168.0.1 any eq www
deny tcp 192.168.0.0 0.0.0.255 any eq www log
permit ip any any

Вроде работает :-)